Beberapa botnet malware secara aktif menargetkan kerentanan Cacti dan Realtek dalam kampanye yang terdeteksi antara Januari dan Maret 2023, menyebarkan malware ShellBot dan Moobot.
Cacat yang ditargetkan adalah CVE-2021-35394, kerentanan eksekusi kode jarak jauh kritis di Realtek Jungle SDK, dan CVE-2022-46169, cacat injeksi perintah kritis dalam alat pemantauan manajemen kesalahan Cacti.
Kedua kelemahan tersebut telah dimanfaatkan oleh malware botnet lainnya di masa lalu, termasuk Fodcha, RedGoBot, MiraiGafgyt, dan Mozi.
Fortinet melaporkan bahwa volume aktivitas jahat pada tahun 2023 adalah signifikan, menargetkan perangkat jaringan yang terbuka untuk mendaftarkannya dalam kawanan DDoS (distributed denial of service).
Sementara laporan Fortinet tidak secara eksplisit menyatakan apakah pelaku ancaman yang sama menyebarkan Moobot dan ShellBot, payload diamati mengeksploitasi kelemahan yang sama dalam semburan serangan yang tumpang tindih.
Infeksi Moobot
Moobot, varian Mirai, pertama kali ditemukan pada Desember 2021, menargetkan kamera Hikvision. Pada September 2022, itu diperbarui untuk menargetkan beberapa kelemahan D-Link RCE.
Saat ini, ia menargetkan CVE-2021-35394 dan CVE-2022-46169 untuk menginfeksi host yang rentan, kemudian mengunduh skrip yang berisi konfigurasinya dan membuat koneksi dengan server C2.
Moobot terus bertukar pesan detak jantung hingga mengenali perintah yang masuk, yaitu saat memulai serangannya.
Fitur penting dari versi Moobot baru adalah kemampuan mereka untuk memindai dan membunuh proses bot lain yang dikenal sehingga mereka dapat memanen kekuatan perangkat keras maksimum dari host yang terinfeksi untuk meluncurkan serangan DDoS.
Serangan ShellBot
ShellBot pertama kali terlihat pada Januari 2023 dan terus aktif hingga hari ini, terutama menargetkan cacat Cacti. Fortinet menangkap tiga varian malware, menunjukkan bahwa itu sedang dikembangkan secara aktif.
Varian pertama menjalin komunikasi dengan C2 dan menunggu penerimaan salah satu perintah berikut:
- ps – melakukan pemindaian port pada target dan port yang ditentukan
- nmap – melakukan pemindaian port Nmap pada rentang port tertentu
- rm – hapus file dan folder
- Versi: kapan – kirim informasi versi
- turun – unduh file
- udp – memulai serangan DDoS UDP
- kembali – menyuntikkan shell terbalik
Varian kedua ShellBot, yang pertama kali muncul pada Maret 2023 dan telah memakan ratusan korban, menampilkan serangkaian perintah yang jauh lebih ekstensif, seperti yang ditunjukkan di bawah ini:
Menariknya, malware ini menampilkan modul peningkatan eksploit yang mengumpulkan berita dan saran publik dari PacketStorm dan milw0rm.
Tindakan yang disarankan untuk bertahan dari Mootbot dan ShellBot adalah menggunakan kata sandi administrator yang kuat dan menerapkan pembaruan keamanan yang memperbaiki kerentanan yang disebutkan.
Jika perangkat Anda tidak lagi didukung oleh vendornya, perangkat tersebut harus diganti dengan model yang lebih baru untuk menerima pembaruan keamanan.
